Acasă Stiri Fenomenul GDPR: 8 bune-practici pentru antreprenori

Fenomenul GDPR: 8 bune-practici pentru antreprenori

Ce presupune GDPR si cum se aplica in compania ta?

Ce e nevoie sa facem pentru a fi conformi cu noile reguli impuse de Uniunea Europeana?

Cum ne pregatim afacerea, angajatii, furnizorii?

Exista multe intrebari pe tema noului regulament GDPR care intră în vigoare pe 25 mai 2018. Iar realitatea este simpla: fie te conformezi, fie risti amenzi usturatoare.

Pentru a face tranzitia la noile norme ceva mai usoara pentru antreprenori, Upgrader a organizat joi, 15 martie Conferința GDPR. Mediul de business după 25 mai, care sa clarifice acest subiect si sa raspunda framantarilor oamenilor de business.

In acest articol iti voi prezenta informatii si sfaturi relevante primite de la specialisti din audit, IT, legal si marketing, prezenti ca speakeri la conferinta Ugprader – astfel incat sa fii un antreprenor informat si sa stii cum sa iti protejezi afacerea.

De ce e important?

Cu siguranta colectezi cel putin nume, adresa, telefon si email de la clientii tai, actuali sau potentiali.


Toate companiile care prelucreaza date cu caracter personal trebuie sa aplice normele GDPR.

Prelucrarea datelor inseamna orice operatiune pe care o poti exercita privind datele, incluzand colectarea, stocarea sau utilizarea lor.

In caz contrar?

Amenzile ajung până la 20 de milioane de euro sau 4% din cifra de afaceri pentru încălcări grave ale legislației.

 

Avocat Silvia Axinescu ne-a asigurat totusi ca nivelul de amenda va depinde de gradul de incalcare a noilor norme: “E important ca agentii de control sa ia in calcul daca firma si-a luat totusi masuri, daca norma a fost incalcata cu intentie sau din neglijenta, daca exista anumite consecinte ale incalcarii, daca a fost un caz izolat sau nu – toate acestea vor trebui luate in considerare inainte de a se aplica amenda maxima.”

Pe de alta parte, Bogdan Tudor, CEO Startech Team – unul din cei mai importanti jucatori pe piata din IT din Romania, avand 250 de angajati – a avut o atitudine incurajatoare si a sugerat sa nu fie amenzile cele care ne motiveaza sa ne punem la punct afacerea cu normele GDPR. “Lumea nu a inceput si nu se va termina cu GDPR. Acesta este insa cel mai bun moment sa investesti in securitatea IT a firmei tale”.

 

Este asadar o oportunitate pentru noi antreprenorii sa ne monitorizam sistemele si sa folosim metode de criptare a acestora.

Pana la urma, GDPR are un scop simplu: sa alinieze mecanismele de protectie a datelor personale in cadrul Uniunii Europene.

Razvan Codreanu, CEO Enersec implicat in fenomenul GDPR inca din 2016, considera ca “acest sistem va oferi un control mai bun fiecarui cetatean asupra datelor lui. Nu vei mai fi sunat de o companie de care nu esti interesat”. Asadar din punct de vedere al utilizatorilor finali, vestile sunt bune: ne vom bucura de mai putine telefoane nesolicitate si nu vom mai primi emailuri tip SPAM.

Din punct de vedere al antreprenorilor, insa, e important sa invatam cum ne protejam business-ul.

25 mai se apropie cu pasi repezi, asadar e important sa planifici din timp.

Asadar, ce e de facut?


1) Incepe cu cartografierea datelor – “Data mapping”

 

Articolul 32 spune sa faci tot ce e in masura sa arati ca te straduiesti sa oferi siguranta clientilor, iar tinerea unei evidente centralizate este primul pas.

Merita sa iti pui urmatoarele intrebari:

– Ce fel de date cu caracter personal prelucrez in firma mea?
– Ce tip de date sensibile sunt prelucrate? (ex: religie, etnie, istoric medical, situatia economica, etc)
– Cum sunt colectate?
– Unde sunt localizate?
– In ce conditii sunt pastrate/ stocate?
– Cine e responsabil in societate pentru modalitatea de prelucrare?
– Ce persoane au acces la aceste date? (numar, functii, motiv) Este necesar?
– Cum este controlat accesul la date? (parola, cheie)

Este un exercitiu foarte util pe care il poti realiza intern, printr-un chestionar legat de fluxul datelor in firma, fie il poti externaliza unui consultant sau firme specializate.

“Cartografierea nu este prevazuta expres de regulament, dar sta la baza oricarui exercitiu de conformare in domeniu” – spune avocat Silvia Axinescu.


2) Te asiguri de la inceput de confidentialitatea si protectia datelor – “Privacy by Design”

 

GDPR impune obligativitatea de a incorpora masuri de protectie a datelor personale, de fiecare data cand creezi un sistem sau proces nou. E nevoie sa ai in minte aceste norme, din design.

De asemenea, e important sa te asiguri ca iti stochezi datele in mod sigur, criptat. E posibil sa fie nevoie sa investesti in securitatea ta informatica, daca nu ai deja un astfel de specialist in firma.

Marian Seitan, CEO la Mediapost Hit Mail ne ofera 3 sugestii in aceest sens:

– Accesul la bazele de date trebuie sa se faca numai cu user si parola, sa se tina un istoric/log al accesului la date
– Bazele de date trebuie sa fie criptate
– Transferul de date trebuie sa fie securizat

De asemenea, o buna practica este sa faci si un DPIA (Evaluarea Impactului asupra Protectiei Datelor) daca procesarea ta indeplineste 2 sau mai multe din cele 9 criterii din ghid.


3) Colectezi strict datele de care ai nevoie – “Data Minimization”

E nevoie sa te intrebi: care este scopul pentru care colectezi acele date cu caracter personal?

Razvan Codreanu ne sfatuieste: “de fiecare data cand ceri date personale de la clienti, sa te intrebi la ce iti folosesc”. Spre exemplu, poate ca nu ai nevoie sa colectezi CNP de la fiecare client in parte, pentru ca nu este obligatoriu sa il treci pe facturile catre persoane fizice (ci te folosesti doar de adresa completa a clientului, care este o informatie mai putin sensibila decat CNP-ul).

Pentru fiecare informatie colectata, e nevoie sa ai un temei. Temeiul poate fi de exemplu:

– contractual (prelucrarea face parte din executarea contractului in sine)
– legal (prelucrarea e necesara pentru a-ti indeplini o obligatie legala)
– interes legitim (marketing-ul direct poate fi considerat interes legitim)

 

4) Asigura-te ca ai consimtamantul userilor pentru procesarea datelor

 

E nevoie sa incepi sa-ti evaluezi baza ta de date actuala si sa verifici daca ai consimtamant utilizatorilor sa le procesezi datele, si mai ales daca poti demonstra ca si-au dat consimtamantul.

De exemplu, daca ai colectat carti de vizita intr-un bol la o conferinta, poate ca utilizatorii si-au dat consimtamantul verbal pe moment, insa la un eventual control ai cum sa demonstrezi ca si-au exprimat intr-adevar acordul?

E important sa documentezi consimtamantul userilor, astfel incat sa il poti demonstra.

In cazul in care lucrezi cu copiii, e nevoie sa ai consimtamantul parintelui/ tutorelui.

In viziunea lui Marian Seitan, e recomandat sa iti instalezi un centru de preferinte de comunicare, in care sa poata intra consumatorul sa isi schimbe consimtamantul referitor la diverse scopuri si canale de comunicare.


5) Oferi dreptul utilizatorilor sa isi corecteze sau stearga datele cu caracter personal

 

Politica GDPR vine si cu anumite drepturi pentru consumatori, si anume: dreptul la stergerea datelor (“Right to erasure”) si dreptul de a fi uitat (“Right to be forgotten”).  Asta inseamna ca persoanele vizate au dreptul sa ceara unei companii sa le stearga complet datele cu caracter personal din baza lor de date.

In calitate de consumator, ai dreptul sa trimiti o cerere unei companii sa iti dea o structura a tuturor datelor despre tine si in ce scop sunt folosite.

De aceea, afacerile vor trebui sa pregateasca o procedura standardizata si centralizata de exportare a datelor acelui utilizator, la cerere.


5) Iti modifici nota informativa pentru culegerea datelor



E important sa existe o informare transparenta si clara a persoanelor vizate.

De fiecare data cand colectezi date, e nevoie sa comunici urmatoarele:

– scopul prelucrarii (sa fie specific)
– canalul de comunicare pe care il vei folosi (de exemplu: email, SMS)


5) Notifici orice brese de securitate

 

E nevoie sa anunti autoritatile in maxim 72 ore de la constatarea oricarei brese de Securitate.

In plus toti clientii afectati trebuie notificati, astfel incat sa stie ce fel de date cu caracter personal au fost compromise.

Ideal, companiile ar trebui sa isi pregateasca o procedura standardizata din timp”, ne recomanda Adina Nichitean, head of e-Commerce solutions la Zitec.


6) Angajezi un DPO daca e cazul

 

Unele companii vor fi nevoite sa isi angajeze un DPO (Data Protection Officer) care se asigura in permanenta ca afacerea e aliniata normelor GDPR sau, ca alternativa, pot sa externalizeze acest serviciu.



7) Oferi training si awareness pentru toti angajatii

 

In primul rand e important sa dai acces angajatilor la datele cu caracter personal, numai daca e necesar din punct de vedere al atributiilor lor sa cunoasca si manevreze acele date.

Asta inseamna sa limitezi sau sa restrictionezi accesul angajatilor tai la anumite date cu caracter personal – si sa aiba acces la acestea doar daca face parte efectiv din fisa postului.

Noile masuri e nevoie sa fie comunicate intregii echipe. Mircea Bogza, partener PwC a subliniat ca este important ca staff-ul sa stie de GDPR si mai mult, sa ai un plan de management pentru implementarea acestuia.

Toti din compania ta e nevoie sa stie ce sunt datele cu caracter personal si sa fie pregatiti.

 

Razvan Codreanu ne avertizeaza ca pot sa apara erori umane chiar si la trimiterea unui email care contine date cu caracter personal care ajunge la o adresa gresita. Poate aveai ca intentie sa-l trimiti catre o persoana din cadrul companiei si din greseala, sa-i dai “Send” catre o alta adresa, din afara companiei. O procedura simpla precum un reply scris cu: “Am trimis din greseala. Te rog confirma-mi stergerea” – poate fi un pas.

Pentru aceasta angajatii e nevoie sa fie informati, educati si pregatiti pentru a gestiona astfel de situatii.

 

8) Verifici ca furnizorii / subcontractorii  sunt conformi cu GDPR

E important sa verifici ca absolut toti furnizorii cu care lucrezi sunt aliniati la normele GDPR. De la firma de IT, hosting, aplicatii web cu care lucrezi, pana la firma de contabilitate si payroll.

Oana Terteleac, Enterprise Channel Manager la Microsoft spune ca: “Atunci cand datele parasesc compania catre terti e nevoie sa fie securizate si departamentul de IT poate sa ajute”.

Cum ne promovam dupa 25 mai?

“Ce se schimba in modul cum ne promovam? Mai putin decat ne fac sa credem casele de avocatura. Dar totusi… e de munca J”, afirma Marian Seitan care are o experienta de +20 de ani in prelucrarea datelor personale.

Ca antreprenori, o sa avem de furca cu mai multa birocratie, o sa fie nevoie sa investim bani in securitatea informatica si sa ne pregatim afacerea, angajatii si furnizorii sa fie conformi cu noile norme GDPR.

Si totusi, Marian ne sfatuieste: “Ai grija sa nu treci in extrema cealalta, sa iti restrangi oportunitatile de business pentru ca tu sau avocatul tau interpretati GDPR si ghidurile intr-un mod prea restrictiv sau prea prudential!”

Un lucru e totusi sigur: va fi mult de munca si ceva bani cheltuiti… dar exista oare si oportunitati odata cu venirea noilor norme?

 

Oportunitatile GDPR

 

Cu siguranta putem sa privim si partea plina a paharului.

Bogdan Tudor, CEO Startech Team vede lucrurile intr-o maniera realista, cu accent pe partea pozitiva: “Noul regulament este o oportunitate pentru companii de a organiza intr-un mod temeinic si sigur datele si informatiile de care dispun. Este cel mai bun moment de a inventaria datele confidentiale – cu caracter personal si nu numai – de a securiza accesul la acestea si de a crea procesele si procedurile pentru a asigura protectia lor”.

In plus, intrucat va fi mai greu ca datele sa paraseasca Uniunea Europeana, va fi nevoie sa ne reorientam spre furnizori europeni. Asta inseamna mai multe oportunitati de business pentru afacerile din Europa.

Business-ul va exploda pentru firmele din cyber-security”, crede Marian Seitan.

Ramane de vazut ce se va intampla dupa data de 25 mai. Nimeni nu stie cu certitudine cum vor decurge lucrurile.

In viziunea mea, este nevoie sa luam lucrurile cu tact, sa incepem sa ne informam si sa luam legatura cu specialisti in IT si cabinete de avocatura, care au expertiza necesara si ne pot face munca mult mai usoara ca antreprenori. Eu una stiu ca asa voi proceda.

Primul pas l-am facut deja, ne-am informat si acum stim in linii mari ce avem de facut pentru a ne alinia normelor GDPR. Urmatorul pas este sa ne stabilim un plan de actiune, sa ne apucam de treaba si cu siguranta, o vom scoate la capat.

Multumesc UPGRADER pentru invitatia la conferinta si, din partea echipei BiziLive TV, le uram la cat mai multe evenimente reusite pentru mediul de business!

Ariadna Vlad
Ariadna Vlad este Knowledge Manager (KM) certificat de catre Institutul KM din Elvetia.Ariadna isi foloseste experienta acumulata in mai bine de 8 ani in jurul dezvoltarii strategiei si a activitatilor corespunzatoare pentru Managementul Cunostintelor (KM) din cadrul companiilor, urmarind obiectivul de a disemina bune practici si de a promova colaborarea.Obiectivele care guverneaza activitatea Ariadnei implica stimularea inovatiei si demonstrarea impactului major al unei bune structurari a informatiei in cadrul companiilor. Un alt aspect important pentru crearea unui mediu de colaborare este colectarea de cunostinte si informatii relevante iar apoi punerea acestora la dispozitia profesionistilor pentru a fi usor de gasit si folosit.

Latest articles

video

Antreprenoriat & StartUp cu Alex Pană | Co Fondator Cleany

Antreprenoriat & StartUp cu Alex Pană | Co Fondator Cleany. Alex Pana a fondat Cleany, impreuna cu Alex Nicoara si Dan Valentin Bînă. Cleany este prima...
video

Antreprenoriat & StartUp cu Sorin Faur | Fondator Academia de HR

Antreprenoriat & StartUp cu Sorin Faur | Fondator Academia de HR. Sorin Faur este Expert Resurse Umane, Antreprenor, Fondator la Academia de HR - Recrutare...
video

Antreprenoriat & StartUp cu Anastasia Staicu | Seneca Anticafe

Antreprenoriat & StartUp cu Anastasia Staicu | Seneca Anticafe. Anastasia Staicu este Fondator Seneca AntiCafe. Ca vicepresedinte al Asociatiei SNK, permanent lucrez impreuna cu superechipa Seneca...
video

ImoBizi cu Madalina Vasile | Broker/Owner Re/max Properties

ImoBizi cu Madalina Vasile | Broker/Owner Re/max Properties. Madalina Vasile este Broker/Owner RE/MAX Properties. Formarea mea profesionala nu are nici o legatura cu domeniul in care...
Informații de business, studii de caz și rezumatul emisiunilor TV! Abonează-te GRATUIT